Ce document présente reCAPTCHA pour WAF et son intégration aux fournisseurs de services de pare-feu d'application Web (WAF).
reCAPTCHA fournit un plug-in déployé en tant que service au niveau de la couche WAF. Il permet aux WAF de vous aider à protéger votre site contre le spam et les utilisations abusives. Il utilise des techniques avancées d'analyse des risques pour distinguer les demandes légitimes de celles frauduleuses.
Intégration de reCAPTCHA pour WAF
reCAPTCHA fournit un plug-in qui est responsable de la détection des robots au niveau de la couche WAF afin de détecter, d'arrêter ou de gérer l'activité automatisée qui accède à vos sites Web ou services.
reCAPTCHA pour WAF s'intègre aux fournisseurs de services WAF suivants :
- WAF intégré deGoogle Cloud : Google Cloud Armor
- Fournisseurs tiers de services WAF : Fastly Edge Compute et Cloudflare Workers
Pour contrôler l'accès aux applications ou aux services, les fournisseurs de services WAF utilisent un ensemble de règles appelées "stratégies" qui filtrent le trafic en fonction de conditions. Les conditions incluent l'adresse IP, la plage d'adresses IP, le code de région ou les en-têtes de requêtes d'une requête entrante. Google Cloud Armor utilise des stratégies de sécurité, tandis que les fournisseurs de services WAF tiers utilisent des stratégies de pare-feu reCAPTCHA (stratégies de pare-feu).
reCAPTCHA pour WAF interagit avec les fournisseurs de services WAF pour effectuer les opérations suivantes :
- L'utilisateur final déclenche une action d'application protégée par reCAPTCHA pour WAF.
- Le client JavaScript reCAPTCHA émet un jeton chiffré qui contient l'évaluation de reCAPTCHA et les attributs associés.
- Le jeton reCAPTCHA est associé aux requêtes de suivi.
Le fournisseur de services WAF déchiffre ce jeton. En fonction des attributs du jeton et des règles de sécurité ou de pare-feu configurées, le fournisseur de services WAF autorise, bloque ou redirige les requêtes entrantes vers une page de validation interstitielle.
Le schéma suivant est une représentation graphique simplifiée de la manière dont le fournisseur de services WAF interagit avec reCAPTCHA pour WAF afin de réaliser une évaluation fluide :
Quand utiliser l'intégration de reCAPTCHA pour WAF ?
Utilisez cette intégration lorsque votre application est déjà derrière un WAF et que vous souhaitez dissocier les modifications des règles reCAPTCHA du code de l'interface et du backend.
Avantages
L'intégration de reCAPTCHA pour WAF offre les avantages suivants :
- Il n'est pas nécessaire de modifier le code du serveur backend, car l'intégration se produit au niveau du WAF.
- Il n'est pas nécessaire de modifier le JavaScript de l'interface, car les intégrations reCAPTCHA pour WAF peuvent insérer dynamiquement une intégration de client JavaScript (pour les clés de jeton de session et de page de défi) ou aucun client n'est nécessaire (pour les clés Express).
- Le trafic des robots est atténué à la périphérie de votre réseau, ce qui réduit la charge sur votre backend protégé.
- Les stratégies de sécurité Google Cloud Armor ou les règles de stratégie de pare-feu reCAPTCHA simplifient les règles d'accès à votre application protégée.
Étapes suivantes
- Découvrez les fonctionnalités offertes par reCAPTCHA pour WAF.